Das Entpacken der Passphrase und das Einfügen in den Benutzersitzungsschlüsselring ist fehlgeschlagen

15

Nach der Eingabe der richtigen Passphrase im Befehl ecryptfs-mount-privatewird folgende Fehlermeldung angezeigt:

torben@torben-nettop:~$ sudo ecryptfs-recover-private
INFO: Searching for encrypted private directories (this might take a while)...
INFO: Found [/media/0f417b42-11a0-4539-9cae-e11ce3b289c3/home/.ecryptfs/
  torben/.Private].
Try to recover this directory? [Y/n]: y
INFO: Enter your LOGIN passphrase...
Passphrase: 
Error: Unwrapping passphrase and inserting into the user session keyring
  failed [-5]
Info: Check the system log for more information from libecryptfs
torben@torben-nettop:~$ 

Syslog hat diese Informationen:

ecryptfs-insert-wrapped-passphrase-into-keyring:  
  Incorrect wrapping key for file [/home/torben/.ecryptfs/wrapped-passphrase]  
ecryptfs-insert-wrapped-passphrase-into-keyring: Error attempting to unwrap
  passphrase from file [/home/torben/.ecryptfs/wrapped-passphrase]; rc = [-5]

-> Wenn ich absolut sicher bin, dass ich die richtige Passphrase eingebe, was kann ich tun, um dieses Problem zu beheben, damit ich den verschlüsselten Basisordner lesen kann?

Einige Hintergrundinformationen:

  • Ich habe Ubuntu 11.04 auf einem neuen Laufwerk installiert und möchte meinen Home-Ordner von dem alten Laufwerk kopieren, das verschlüsselt ist (ich habe die Passphrase).
  • Mit Hilfe von Marco Ceppi im Chat bin ich gestern genau diesen Schritten gefolgt und habe mir erfolgreich Zugriff auf den verschlüsselten Home-Ordner verschafft. Dies beweist, dass meine Passphrase tatsächlich funktioniert.
  • Ich startete dann die Maschine beim Kopieren vom alten verschlüsselten Home-Ordner in den neuen unverschlüsselten Home-Ordner und ging ins Bett. Als ich zum Computer zurückkehrte, sah ich, dass er sich selbst angehalten hatte :( und das Kopieren des Ordners noch nicht abgeschlossen hatte.
  • Ich habe den Computer neu gestartet und die temporären Ordner / Wiederherstellungsordner entfernt . Dann habe ich genau dieselben Schritte erneut ausgeführt. In diesem Fall ist jedoch der oben angegebene Fehler aufgetreten. Ich habe es mehrmals versucht; immer das gleiche ergebnis. Ich bin absolut sicher, dass ich die richtige Passphrase eingebe.
Torben Gundtofte-Bruun
quelle
Ich bin mit diesem Bereich nicht vertraut - daher der Kommentar keine Antwort - haben Sie die Schritte von "1awsomeguy" in diesem verlinkten Beitrag ausprobiert? ubuntuforums.org/archive/index.php/t-1471961.html
fossfreedom
Dieser Forumsbeitrag verweist auf Anweisungen, die nicht mehr gültig sind. Auf der Anweisungswebseite wird eindeutig angegeben, dass stattdessen ein neueres Tool verwendet werden soll. Dies habe ich in der obigen Frage versucht. Der einzige Unterschied ist, dass ich nicht von einer USB "LiveCD" boote, sondern diese lokal starte, da der betreffende verschlüsselte Ordner nicht lokal ist, sondern auf einer externen Festplatte.
Torben Gundtofte-Bruun
Möglicherweise ein schneller Weg - haben Sie versucht, den Entwickler von ecryptfs direkt zu kontaktieren? Hier sind seine Kontakte: launchpad.net/~kirkland Er scheint freundlich zu sein. Das Senden des Links zu dieser Frage kann ihn neugierig machen, da es sehr spezifisch und immer noch unbeantwortet ist.
Strapakowsky
@strapa - gute Idee! Ich habe eine Frage über Launchpad gesendet, diese Webseite jedoch weggelassen. Das könnte funktionieren!
Torben Gundtofte-Bruun
1
Anscheinend weiß niemand, was diese Fehlermeldung bedeutet ... was für eine fruchtlose Verschwendung meines Vertreters! : '- (
Torben Gundtofte-Bruun

Antworten:

13

Aktualisiert : 19. Juni 2018

Zusammenfassung

Ich habe kürzlich einen ähnlichen Fehler erhalten, als ich versucht habe, Daten von einem externen Laufwerk zu entschlüsseln. Jedes Mal, wenn die Fehlermeldung von einem ungültigen Passwort stammt, kann ich diese den ganzen Tag duplizieren. Anstatt ecryptfs-recover-private zu verwenden, habe ich ecryptfs-unwrap-passphrase verwendet , was meiner Meinung nach für bestimmte Daten gilt, obwohl ich keine Lust habe, nach dem Unterschied zu suchen.

Hinweis: Dies ist keine Anleitung zum Kopieren / Einfügen, sondern eher eine Aufzeichnung meines Erfolgs.

Auspacken der Passphrase

Sie müssen Ihre wrapped-passphraseDatei finden. Wenn Sie nicht sicher sind, wo es sich befindet, können Sie es verwenden find. Nachdem Sie Ihr Volume gemountet haben, können Sie Folgendes tun:

sudo find /media -name wrapped-passphrase

Sie möchten den Pfad, der zurückgegeben wird, durch die unten aufgelisteten Pfade ersetzen.

Meine Schritte nach dem Einhängen des alten Laufwerks.

cd /media/_UUID_/.ecryptfs/paulj/.encryptfs
ecryptfs-unwrap-passphrase ./wrapped-passphrase
Passphrase:

Es wird immer nach einer Passphrase gefragt. Dies ist das Passwort, das Sie beim Erstellen des verschlüsselten Home-Verzeichnisses bei der Installation von Ubuntu festgelegt haben. Im Setup wird dringend empfohlen, ein anderes Kennwort als Ihr Anmeldekennwort zu verwenden. Wenn Sie Ihr Anmeldekennwort in der letzten Stunde versucht haben und fehlgeschlagen sind, versuchen Sie es mit einem anderen Kennwort. Versuchen Sie es mit dem Kennwort, das Sie selten verwenden.

Ich hatte vergessen, was meins war, ich habe alle meine super tollen Passwörter ausprobiert und immer wieder die folgende Fehlermeldung erhalten:

Error: Unwrapping passphrase failed [-5]
Info: Check the system log for more information from libecryptfs

Nachdem ich ungefähr eine Stunde lang in Google gesucht hatte, stellte ich mir vor, dass ich ein falsches Passwort probieren würde. Deshalb gab ich an der Eingabeaufforderung für die Passphrase ein Passwort ein .

Folgendes wurde ausgespuckt:

116b053e08564b53b2967e64e509bdc5

Ich habe ecryptfs-unwrap-passphrase erneut ausgeführt und ein anderes Passwort ausprobiert und die gleiche -5-Fehlermeldung wie oben aufgeführt erhalten. Es stellte sich heraus, dass ich die Passphrase tatsächlich auf Passwort gesetzt hatte , wahrscheinlich aufgrund meiner Frustrationen beim Entschlüsseln von Daten in Ubuntu in der Vergangenheit.

Passphrase zu Keying hinzufügen

ecryptfs-add-passphraseVerwenden Sie zum Hinzufügen der Passphrase die im vorherigen Schritt generierte Passphrase.

sudo ecryptfs-add-passphrase --fnek
Passphrase: 116b053e08564b53b2967e64e509bdc5

Ausgänge:

Inserted auth tok with sig [b69fed2a22932ba4] into the user session keyring
Inserted auth tok with sig [8aad0fb4482edab3] into the user session keyring

Einhängen oder Wiederherstellen

An diesem Punkt haben Sie zwei Möglichkeiten, ich schlage vor, zu versuchen, zu mounten. Wenn Sie dann nicht mounten können, versuchen Sie, wiederherzustellen.

Laufwerk einbauen

Es ist leicht, sich das .PrivateVerzeichnis als nicht gemountetes Volume vorzustellen.

Auch hier müssen Sie Ihre eigenen Verzeichnisse angeben.

sudo mkdir -p /home/paulj/Private
sudo mount -t ecryptfs /media/_UUID_/.ecryptfs/paulj/.Private /home/paulj/Private

Passphrase: 116b053e08564b53b2967e64e509bdc5
Select cipher: 
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32 (loaded)
 2) blowfish: blocksize = 16; min keysize = 16; max keysize = 56 (not loaded)
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 (not loaded)
 4) cast6: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
 5) cast5: blocksize = 8; min keysize = 5; max keysize = 16 (not loaded)
Selection [aes]: aes

Select key bytes: 
 1) 16
 2) 32
 3) 24
Selection [16]: 16

Enable plaintext passthrough (y/n) [n]: n

Enable filename encryption (y/n) [n]: y <-- If your filenames display oddly, toggle this to y or n.

{this is the second value from Inserted auth tok...}
Filename Encryption Key (FNEK) Signature: 8aad0fb4482edab3

Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_fnek_sig=8aad0fb4482edab3
  ecryptfs_key_bytes=16
  ecryptfs_cipher=aes
  ecryptfs_sig=b69fed2a22932ba4
Mounted eCryptfs

Hoffentlich haben Sie beim ersten Erstellen des verschlüsselten Laufwerks nicht mit dem Chiffrier- oder Schlüsselbyte rumgespielt.

Zeigt alle Daten in meinem alten Heimatverzeichnis an.

cd /home/paulj/Private
ls -la

Hinweis: Wenn Sie an diesem Punkt ungültige Berechtigungs- / Eigentümer- / Gruppensätze erhalten, möchten Sie die Bereitstellung des Laufwerks aufheben und zum Abschnitt "Wiederherstellen" wechseln.

Wenn Sie einen guten Berechtigungssatz erhalten, kopieren Sie diesen Junk-Out vom verschlüsselten Laufwerk beispielsweise auf den Desktop.

mkdir ~/Desktop/Backup
cp -Rv ./* ~/Desktop/Backup

Genesen

Ich entdeckte, dass ich meine Ecryptfs nicht erfolgreich mounten konnte. lszeigte ungültige Berechtigungs- / Eigentümer- / Gruppeneinstellungen an. Es sah ungefähr so ​​aus:

total ??
d????-??-?  ?? ??      ??      ??   ??            .
d????-??-?   6 root    root    4.0K Jun 19 11:42  ..
d???------  ?? ??      ??      ??   ??            .aptitude
d????-??-?  ?? ??      ??      ??   ??            .autoenv
-??-?--?--  ?? ??      ??      ??   ??            .autoenv_authorized
d????-??-?  ?? ??      ??      ??   ??            .aws
-??-?--?--  ?? ??      ??      ??   ??            .bash_aliases
-??-------  ?? ??      ??      ??   ??            .bash_history
-??-?--?--  ?? ??      ??      ??   ??            .bash_logout
-??-?--?--  ?? ??      ??      ??   ??            .bashrc
d????-??-?  ?? ??      ??      ??   ??            bin
d????-??-?  ?? ??      ??      ??   ??            .cache
d????-??-?  ?? ??      ??      ??   ??            code
d????-??-?  ?? ??      ??      ??   ??            .config

Ich bin mir nicht sicher, warum ich Probleme mit der Benutzung hatte mount, also fing ich an herumzuspielen ecryptfs-recover-privateund hatte etwas Glück.

Auch hier müssen Sie Ihre eigene generierte Passphrase von oben verwenden. Beachten Sie, dass ich den --rwSchalter hier verwendet habe, um den Mount schreib- / lesbar zu machen. Wenn Sie den Schalter weglassen, wird der Mount schreibgeschützt.

sudo ecryptfs-recover-private --rw /media/_UUID_/.ecryptfs/paulj/.Private

INFO: Found [/media/_UUID_/.ecryptfs/paulj/.Private].
Try to recover this directory? [Y/n]: Y
INFO: Found your wrapped-passphrase
Do you know your LOGIN passphrase? [Y/n] Y
INFO: Enter your LOGIN passphrase...
Passphrase: 116b053e08564b53b2967e64e509bdc5
Inserted auth tok with sig [b69fed2a22932ba4] into the user session keyring
INFO: Success!  Private data mounted at [/tmp/ecryptfs.idv9OohY].

Der tmpausgegebene Pfad enthält Ihr verschlüsseltes Mount.

ls -la /tmp/ecryptfs.idv9OohY

Dies sollte Ihren vollständigen Pfad mit den richtigen Berechtigungssätzen anzeigen. Kopieren Sie es jetzt irgendwo heraus.

mkdir ~/Desktop/Recovered
sudo cp -Rv /tmp/ecryptfs.idv9OohY ~/Desktop/Recovered

Abschließend

VIEL GLÜCK!!

Sie sollten in der Lage sein, dies für jede Variante von Ubuntu zu verwenden. Ich habe es beispielsweise in und zwischen Ubuntu und Mint und Lubuntu verwendet.

Wenn Sie nur diesen Thread finden, funktionieren diese hexadezimalen Werte nicht , es sei denn, Sie haben ein spezielles Passwort als Passphrase verwendet.

Paul J
quelle
3
Ich werde diese Antwort akzeptieren, da sie die genaue Lösung zu enthalten scheint . Mein Passwort war eigentlich kein "Passwort", daher würden sich meine Schlüssel unterscheiden. Leider wurde das Laufwerk inzwischen formatiert, weil ich aufgehört habe, nach einer Lösung zu suchen, sodass es für mich nicht mehr von großer Relevanz ist. Und ich habe gelernt, mein
Heimlaufwerk
2
@paulj Du hast dir das Ass Saviour-Abzeichen verdient.
Robertodecurnex
1
@robertodecurnex - Ich bin froh, Ihnen helfen zu können. Ich habe Ubuntu komplett aufgegeben, weil es mich ständig auf irgendeine Weise verarscht. Ich halte mich an Mint Desktop und manchmal an CENTOS Server.
Paul J
1
Ich habe die gleiche Situation erlebt und konnte sie nach dem Hinzufügen der Passphrase aktivieren. Jetzt kann ich nur noch ECRYPTFS_FNEK_ENCRYPTED ... -Dateien anzeigen. Gibt es eine Möglichkeit, nicht verschlüsselte Dateien zu erhalten?
Roman Newaza
1
@paulj Danke! Diese Schritte haben genau für mich funktioniert, obwohl meine Situation anders war (glaube ich). Ich hatte einen /homein Linux Mint verschlüsselten und benutzte einen Debian-Live-USB-Stick, um zu tun, was Sie vorgeschlagen hatten. Ich hatte schon an anderer Stelle ähnliche Antworten gefunden, aber am Ende hatte ich immer einen seltsamen Fehler. Die eine andere Sache, die Sie tun, ist sudo mkdir -p /home/paulj/Private. Jetzt weiß ich, dass der Fehler irgendwie mit Berechtigungen zusammenhängt.
Marcelocra
4

Dies ist ein Versuch, es selbst zu beheben:

  1. Dustin Kirkland schrieb 2008 :

    [...] Sie versuchen, die Mount-Passphrase mit dem falschen Anmeldekennwort zu entpacken. Sie können sowohl Ihr aktuelles als auch Ihr neues Kennwort oder ein anderes Kennwort verwenden, das Sie möglicherweise verwendet haben. Wenn Sie Ihre Mount-Passphrase erfolgreich entpacken können, sollten Sie in der Lage sein, die Bereitstellung durchzuführen.

  2. Der Login-Benutzername und das Login-Passwort für das neue System sind identisch mit denen für das alte System. Ich habe die Passphrase aufgeschrieben und weiß, dass sie korrekt ist (siehe Beweis in meiner Frage).

  3. Dieses ähnliche Problem könnte einen Blick wert sein: Der Versuch, ein altes verschlüsseltes Haus zu mounten

  4. Außerdem funktioniert möglicherweise etwas auf dem neuen System nicht richtig. Um dies auszuschließen, starten Sie eine Live-CD und versuchen Sie es von dort aus.

... um auf dem Laufenden zu bleiben!

Torben Gundtofte-Bruun
quelle
0

Falls das Passwort nicht funktioniert (was mir passiert ist, obwohl ich es nicht geändert habe), hat es mir geholfen, das Backup-Passwort für den Zugriff zu verwenden. Ich antwortete nur mit Nein, ob ich mein Passwort kannte, und gab die 32 lange Hex-Nummer ein, die ich beim ersten Start erhalten und notiert hatte.

Dies kann manchmal einfacher sein als zu raten.

Gast
quelle
0

Wenn es eine Hilfe sein kann, während ich ein ähnliches Problem (Code konfrontiert wurde -5bei der Entschlüsselung von Home - Verzeichnis), fand ich unter einem paar Dateien aus .ecryptfsund .Privatewurde nicht von meinem Benutzerkonto , sondern im Besitz von root.

Dies geschah, weil ich ecryptfs-rewrap-passphraseals Root ausgeführt wurde und als solche wichtige Dateien von meinem eigenen Konto gesperrt hat.

Wenn ich ecryptfs-mount-privatemit meinem Benutzerkonto lief , schlug dies fehl, da das Lesen und Schreiben einiger Dateien (nämlich .ecryptfs/wrapped-passphrase) verweigert wurde.

Ich habe meinen Fall gelöst, indem ich weggelaufen bin sudo chown -R USER:USER /home/USER/.ecryptfs /home/USER/.Private . Ersetzen Sie USERdurch Ihren tatsächlichen Kontonamen. YMMV

Dreadlockyx
quelle